회원정보 1,030만건 유출…2차 피해 우려

인터넷 쇼핑몰 ‘인터파크’에서 해킹으로 인한 회원들의 개인정보 유출사고가 발생했다. 유출된 개인정보가 암시장에서 거래될 경우 보이스피싱, 파밍 등 2차 피해가 발생할수도 있다는 우려가 제기되고 있다.

인터파크는 지난 25일 오후 홈페이지를 통해 “인터파크는 7월 11일 해커 조직에 의해 APT(지능형 지속가능 위협, Advanced Persistent Threat) 형태의 해킹에 고객 정보 일부가 침해당한 사실을 인지했으며, 익일 경찰청 사이버 안전국에 신고해 공조를 시작했다”고 밝혔다.

이어 “이번 해커 조직의 범죄에 고객 정보를 지키지 못한 점에 대해서 진심으로 사과드린다”면서 “이번에 침해당한 회원 정보는 이름, 아이디, 이메일, 주소, 전화번호로 추정하고 있으며, 개인별로 유출항목에 차이가 있다”고 덧붙였다.

또한 “주민번호와 금융정보 등은 유출되지 않았고, 비밀번호는 암호화돼 있어 안전하다”고 전했다.

APT해킹이란 이메일이나 문서에 악성코드를 심어놓은 후 공격대상이 이를 클릭해서 열어보면 악성코드가 PC를 감염시키고 오랜 시간동안 잠복해 있으면서 정보를 조금씩 빼돌리는 방식이다.

이번 해킹은 해커 조직이 인터파크 특정 직원에게 이메일을 보내 회사 PC에 악성코드를 심은 후 데이터베이스 서버에 침투해 회원들의 개인정보를 빼돌린 것으로 추정된다.

26일 업계에 따르면 인터파크는 지난 5월 국적을 알 수 없는 해커 조직에 의해 해킹을 당했고, 개인정보가 유출된 회원수는 1,030만명으로 전체 회원수 2,000여만명의 절반에 달한다.

인터파크는 주민등록번호나 금융정보와 같은 민감한 개인정보는 유출되지 않았다고 밝혔지만, 1,000만명 넘는 사람들의 개인정보가 유출된 만큼 피싱이나 파밍, 빈집털이 등과 같은 2차 피해가 우려된다.

KB국민·NH농협·롯데카드 개인정보 유출사고나 KT 고객센터 홈페이지 해킹사건으로 빼돌려진 개인정보로 인한 2차 피해 신고가 여전히 금융소비자원 등에 접수되고 있기 때문이다.

이에 미래창조과학부와 방송통신위원회는 이번 사고의 원인을 조사하기 위해 공무원 및 민간 전문가로 구성된 ‘민·관 합동조사단’을 구성해 조사를 실시한다고 지난 25일 밝혔다.

미래부는 사고 원인 분석과 개인정보 유출에 악용된 취약점 등을 보완할 수 있도록 기술을 지원하고, 2차 피해 예방을 위해 비밀번호 변경 등을 당부했다.

방통위는 개인정보 불법유통 및 노출검색 모니터링을 강화하고, 개인정보 침해신고센터를 24시간 가동하고 접수를 받는다.

한편, 인터파크의 늦장 대응이 도마에 올랐다. 민감한 개인정보를 가지고 있는 쇼핑몰의 보안이 뚫렸다는 것도 문제지만, 해킹사실을 인지한 후 열흘이 넘도록 사실을 회원들에게 알리지 않았기 때문이다.

인터파크는 해킹 사실을 그동안 인지하고 있지 못하다가 해커 조직이 11일 빼돌린 회원들의 개인정보를 대가로 30억 비트코인(온라인 가상화폐)을 요구하면서 알게 된 것으로 전해졌다.

하지만 이같은 사실이 공지된 시점은 25일 오후이다. 2주 정도의 시간차이가 발생한 것이다.

인터파크 관계자는 “주민번호와 같은 정보는 유출되지 않아 2차 피해 가능성이 적었다”며 “경찰이 범인 검거 협조를 우선적으로 부탁해 공지를 하지 않았다”고 해명했다.

이어 “고객정보를 지키지 못해 변명의 여지가 없다”면서 “범인 검거와 정보유통방지를 위해 긴밀히 공조하겠다”고 말했다.